→IAMロール
・すべてのビジネスアカウントで、DynamoDBテーブルへのアクセスをロールに与えるポリシーと、インベントリアプリケーションアカウントの特定のロールを信頼するための信頼ポリシーを持つ、BU_ROLEという名前のIAMロールを作成します。インベントリアカウントで、STS AssumeRole API操作へのアクセスを許可するAPP_ROLEという名前のロールを作成します。APP_ROLEを使用するようにアプリケーションを構成し、DynamoDBテーブルを読み取るためにクロスアカウントロールBU_ROLEを仮定します
この選択肢が正解の理由は以下の通りです。
まず、DynamoDBテーブルへのアクセスを許可するIAMロール(BU_ROLE)を各ビジネスアカウントで作成することで、セキュリティ効率的に各アカウントのリソースにアクセスすることができます。このロールには、インベントリアプリケーションのアカウントの特定ロール(APP_ROLE)を信頼する信頼ポリシーも含まれます。
そして、アプリケーションは、このAPP_ROLEを使用して、必要なビジネスアカウントのBU_ROLEを仮定(AssumeRole)します。これにより、アプリケーションは各ビジネスアカウントのDynamoDBテーブルに安全にアクセスできます。
クロスアカウントロールの仮定(AssumeRole)は、AWSのセキュリティベストプラクティスの一部であり、一つのアカウントから別のアカウントのリソースにアクセスする効果的な方法です。これら全てを通じて、中央在庫レポートアプリケーションは各チームのDynamoDBテーブルから商品在庫レベルを読み取ることができ、安全性を維持しながらシステム全体の効率を上げることができます。
コメント